サイバー攻撃の巧妙化を背景に再考を迫られるIT管理とセキュリティ管理のあり方:防御だけ、耐障害だけを考えたアプローチからの脱却を
侵入に気づけないサイバー攻撃の増加、中でも企業や組織を狙ったランサムウェアは、既存のセキュリティ対策やバックアップの限界を露呈させた。脅威が巧妙化する時代に求められる、新たなソリューションとは。
脆弱(ぜいじゃく)性を突く攻撃やランサムウェア、メールやSNSの中身を流用して巧妙に人をだます攻撃など、ターゲットの業務を研究し尽くしたサイバー攻撃の増加を背景に、境界防御とシグネチャに基づくエンドポイントセキュリティという従来のセキュリティ対策だけでは対応できない時代が到来しつつある。
サイバーリーズン・ジャパンのパートナー営業本部 丸山広朗氏が「どこか1つでも穴があれば、攻撃者はそこを突いて簡単に侵入してくる」と述べる通り、脅威はますます巧妙化、複雑化している。
事態をさらに難しくしているのは、クラウドサービスやモバイル、IoT(モノのインターネット)の普及に伴って、システムそのものが複雑化の一途をたどっていることだ。オンプレミスの固定した環境だけではなく、柔軟に変化するハイブリッドクラウド環境を前提に、より迅速にサービスをリリースしていくことが求められる中で、常にセキュリティを完璧に保ち続けるのは至難の技である。
こうした背景から、できる限りの防御を考えつつ、同時に「もし、それらをすり抜けられたらどうするか」「万が一の際、どうやって被害を最小限に抑えるか」という、“侵入を前提とした対策”が求められるようになっている。では、「レジリエンス」とも呼ばれるこうしたコンセプトを実現するには、どんな手段が必要なのだろうか――。
ランサムウェアの猛威で露呈した従来型セキュリティ対策の限界
迅速に脅威を検知し、復旧させ、事業への影響を最小限に抑える――そうした侵入を前提としたセキュリティ対策の必要性が認識されるようになったきっかけの一つは、2017年以降、国内で猛威を振るったランサムウェアだろう。
登場当初のランサムウェアは個人のPCに感染し、家族との大切な思い出などを暗号化して、引き換えに金銭を要求することが多かった。これはこれで当人にとっては大きな問題だったが、最近はむしろ企業や自治体、医療機関など、企業や組織をターゲットにしたランサムウェアが増加している。工場のラインが停止してビジネスに深刻な影響を与えたり、地域医療や市民サービスに影響が及んだりする事態も報じられている。
「従来のシグネチャベースのセキュリティ対策は、世界のどこかで見つかった検体をベースにシグネチャを作成する。つまり、何かが起きてから作成するため、基本的に後手に回ってしまう。残念ながら、侵入された後、それに気づくすべを持っている企業は少ない」(丸山氏)
ランサムウェアの猛威はまた、いわゆるセキュリティ対策だけではなく、データの保護や復旧手段としての「バックアップ」の重要性を再認識させるきっかけにもなった。そもそもバックアップを実施していないケースは論外としても、バックアップしているつもりで必要なデータが取れていなかったり、うまくリカバリーできなかったり……といった苦い経験を踏まえ、あらためてバックアッププロセスを確認した企業は多い。
さらに、一連のランサムウェアによるインシデントは、「障害対策だけを考えたバックアップでは足りないことを明らかにした」と、日立製作所 ITプロダクツ統括本部 プロダクツサービス&ソリューション本部 クラウド&プロダクツサービス部 西原雄太氏は指摘する。ランサムウェアに感染し、本番サーバのデータだけではなく、バックアップサーバのデータまで暗号化されてしまい、事業継続が困難になるケースがあるからだ。
災害や障害発生に備え、速やかにデータをリカバリーして業務停止時間を減らすという目的からすると、本番サーバと災害対策サーバを「密」に連携させることが正解だ。だが、サイバー攻撃への対応を考えると「密に連携していると共倒れするリスクが高まる。性質が異なり、対応しなければいけない課題が異なるため、既存のバックアップやディザスタリカバリーだけではない、別の手段が必要だ」と西原氏は説明する。
また、ランサムウェアの感染に気が付いてデータをリカバリーしようと試みるのはいいが、果たしてどの時点のバックアップに戻せばいいのか、復旧ポイントの特定に手間取ることも多い。あまりに近い時点のデータに戻して再感染しては意味がないが、安全策を採ると、今度は手作業で多くのデータを復旧しなければならないし、データロストが生じる恐れもある。どの時点のデータに戻すのが一番業務に影響が少ないか――その判断に手間取り、復旧作業に時間を要したケースは少なくない。つまり「データをどう守るかだけではなく、どの時点に戻し、いかにダウンタイムを短くできるかが課題だ」(西原氏)というわけだ。
EDRと統合運用管理ツール、ストレージの連携で被害を最小化
長年、セキュリティ上の課題とITインフラの安定運用の課題は、それぞれ別々のチームによって検討されることが多かった。だが、ランサムウェアのまん延が示した通り、セキュリティインシデントとITインシデントの距離が縮まってきた現在、それらを統合的に扱い、対策できる環境が必要とされている。
それを実現するのが、サイバーリーズン・ジャパンのEDR(Endpoint Detection and Response)製品「Cybereason EDR」と、日立製作所(以下、日立)の統合システム運用管理ソフト「JP1」、そしてストレージの「Hitachi Virtual Storage Platform」(VSP)が実現するデータ保護ソリューションの連携だ。
この連携により、組織内部への攻撃者の侵入やランサムウェアへの感染など、何らかのセキュリティ上の脅威をCybereason EDRが検知したら、「JP1/Integrated Management 2」(JP1/IM2)にそのアラート情報を集約し、JP1の統合管理画面で一元的に管理することができる。さらに、あらかじめ定義した内容に従って、「それ以上被害を拡大させないために、日次バックアップジョブを一時停止する」「感染したことを通知する」といったアクションを自動的に行うことができる。
日立のJP1は、多くの企業で採用され、活用実績を積んできた統合運用管理製品だ。JP1/IM2を介してCybereason EDRが検知したさまざまな情報もJP1の使い慣れたシステム監視基盤に集約することで、セキュリティとITの両方にまたがる統合管理を実現することができる。
「ITのシステム監視基盤にセキュリティを追加することで、運用を効率化できる。管理画面も1つで済み、インシデントが発生した際の迅速な対処につながる」と、日立製作所 サービスプラットフォーム事業本部 デジタルソリューション推進本部 ソリューション事業推進部の大野由理氏は説明する。
その上、日立ストレージには、災害対策やIT障害に備えた機能だけではなく、サイバー攻撃を受け、データの一部が暗号化されたり、破壊されたりしたとしても、事業を継続するための仕組みが搭載されている。
その1つが、ローカルコピー機能を生かし、サーバからは認識されない、つまりマルウェアにも認識されない部分にバックアップデータを保存することで、データを保護すること。しかも、仮想ストレージと差分コピー機能を活用し、効率的に多世代のバックアップを保持できる。
これにより、マルウェア感染に気付くのが遅れても、本番、バックアップの共倒れを回避できる可能性が高まる。しかも、取得した複数のバックアップデータを並列して検証できる仕組みが整っているため、「どのバージョンを戻せば一番データロストが少ないか」、リストアすべきポイントを速やかに特定でき、ひいてはダウンタイムを最小化できる。
Cybereason EDRは「端末に影響を与えない」ことを前提に、ユーザーモードで動作することが特徴のEDR製品だ。複数端末間での振る舞いを相関分析し、独自のアルゴリズムに基づいて「攻撃者の振る舞い」を検出。これにより、日本の企業が特に嫌う誤検知/過検知が少ない上、外資系ベンダーにしては珍しいといってもよいくらい、日本のエンドユーザーから寄せられたリクエストに応え、さまざまな機能を追加してきた。
そのCybereason EDRとJP1/IM2、日立ストレージが連携し補完し合うことで、たとえ防御の網をすり抜けてマルウェアに侵入されても、まずCybereason EDRで検知し、感染時刻を特定。その情報を基に復旧ポイントを決定して速やかにデータをリストアすることで、短期間でシステムを復旧し、被害を最小限に抑えることができるようになる。
「Cybereason EDRによる検知と日立のデータ保護ソリューションを組み合わせることで、侵入を前提としたセキュリティ対策を検討する際にふまえるべき『防御から検知』『対応』『復旧』のプロセスを、トータルで支援することができるようになった」(西原氏)
バラバラだったITマネジメントとセキュリティマネジメントを統合
「ITインシデントとセキュリティインシデントはつながっているにもかかわらず、残念ながら、まだ多くの企業ではITマネジメントとセキュリティマネジメントはバラバラでつながっていない」と大野氏は指摘する。
Cybereason EDRを一種の「センサー」として、JP1の監視対象の一つとして統合し、必要に応じてデータ復旧などの措置を行えるようにしたこの連携ソリューションは、こうした現状を変えていくきっかけになりそうだ。セキュリティ人材不足が叫ばれる中、インシデント対応業務の自動化を進める基盤としても有効活用できるだろう。
「ITインフラのインシデントだけ、セキュリティのインシデントだけを見ていても、現状を正しく把握できない。正しく、かつ迅速に判断していくには、JP1/IM2のようなものが必要だ」(西原氏)
このように、これまでバラバラだったセキュリティとバックアップ運用を含めたITマネジメントの距離を縮めていくCybereason EDRとJP1、日立ストレージの連携ソリューションは、サイバーセキュリティのリスクがますます高まる中、ITとセキュリティにまたがる統合管理を実現し、IT部門に負担をかけることなく、最も重要な任務である「事業継続」を実現する大きな力になる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
関連リンク
提供:サイバーリーズン・ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2020年2月13日